ComputerBase Menü
Aktuelles

2x VPN im gleichen Netzwerk

H

herrpiefke

Cadet 3rd Year
Registriert
Aug. 2018
Beiträge
43
Hallo miteinander,

folgender Sachverhalt. Ich habe einen Wireguard VPN über pivpn laufen.
Funktioniert top. Damit kann ich dann bekannterweise von außerhalb auf meine Geräte im Heimnetz zugreifen.
Nun möchte ich einen zweiten VPN für Person X einrichten. Dieser soll vom Ausland aus drauf zugreifen und sozusagen über eine deutsche IP surfen, er soll aber nicht auf mein Heimnetz zugreifen können.

Ich habe keinen Layer 3 Router o.Ä. sondern normale Fritzbox 7590. Meine überlegung wäre jetzt, einen zweiten Raspberry an den GastLan Port der Fritzbox zu schließen und hier ebenfalls pivpn laufen zu lassen. Würde das wohl funktionieren oder habe ich einen Gedankenfehler? Kann ich das vielleicht sogar einfacher realisieren?

Grüße
 
Würde funktionieren und wäre wahrscheinlich auch meine erste Art der Umsetzung.

Wäre aber sicher auch mit dem einen Pi möglich, aber dann mit mehr Konfigurationsarbeit.
 
herrpiefke schrieb:
Meine überlegung wäre jetzt, einen zweiten Raspberry an den GastLan Port der Fritzbox zu schließen und hier ebenfalls pivpn laufen zu lassen.
Zum Vergrößern anklicken....
Das scheitert daran, dass man für das Gastlan keine Portfreigaben erstellen kann.
 
  • Gefällt mir
Reaktionen: Olunixus und smuper
herrpiefke schrieb:
Dieser soll vom Ausland aus drauf zugreifen
Zum Vergrößern anklicken....
Wenn das zuverlässig gehen soll wäre OpenVPN (mit tls-crypt) über TCP Port 443 das Mittel der Wahl.
Geht problemlos neben Wireguard auf einem PI.
Zugriff ins LAN dann einfach über iptables sperren.
 
  • Gefällt mir
Reaktionen: Raijin
@Myron du könntest recht haben, das hatte ich nie getestet ob die Fritzbox das zu lässt.
@till69 klingt praktikabel. Wie kann ich pivpn um openvpn erweitern? Bezüglich dem Thema iptables muss ich mich noch einlesen.
 
@till69 danke, das bekomme ich hin.
Schwieriger wird das Thema iptables. Ich schätze hier brauche ich Unterstützung.

Noch eine Ergänzung. Habe hier noch den Mango Router rumfliegen.

https://www.gl-inet.com/products/gl-mt300n-v2/

Auf diesen kann ich ja auch einen WireGuard server betreiben. Kann ich diesen nicht einfach wie eine Router Kaskarde hinter meine FRITZ!Box schließen und dann sozusagen eine zweite dmz betreiben? Ich habe ja nicht die Anforderung, dass ich von mango in mein Hauptnetz muss.
 
Zuletzt bearbeitet:
herrpiefke schrieb:
Auf diesen kann ich ja auch einen WireGuard server betreiben
Zum Vergrößern anklicken....
Nochmal ... Wireguard geht über UDP (genau wie IPsec), und im Ausland ist es ziemlich ärgerlich, wenn Deine VPN Verbindung nicht funktioniert, weil ein Port oder das ganze Protokoll geblockt wird.
 
Das Problem ist zu vernachlässigen. Person X will die vpn Verbindung von seinem Heimnetzwerk aufbauen, in dem udp natürlich nicht geblockt wird. Außerdem ist WireGuard nach meiner Erfahrung deutlich schneller als openvpn)
Mir wird es nur ggf. Etwas zu kompliziert mit dem Thema iptables, da hier dann meine Kenntnisse enden. Insofern viel mir eben noch die Idee mit dem zweiten Router ein.
 
Ich habe von China aus die Erfahrung gemacht, dass OpenVPN über TCP 443 (Port sollte aber egal sein) nicht gut läuft, weil wohl die TCP Antwortpakete nicht rechtzeitig ankommen und daher die VPN Verbindung abbricht... Von daher hat das FritzVPN oder Outline zuverlässiger funktioniert.
 
@till69 also iptables ist nun das mittel der Wahl. Soweit ich es richtig sehe wäre dann für mich (vorausgesetzt ich habe erstmal iptables aktiviert) - der erste Befehl

iptables -F (um alle Regeln zu löschen, wobei es ja sogesehen keine geben dürfte)

und der zweite Befehl

iptables -A OUTPUT -s 192.168.178.0/24 -j DROP

webei wahrscheinlich DROP vorzuziehen ist, da hier weniger Rechenleistung verlorgen geht als, wenn ich den Befehl REJECT nehme. Vorausgesetzt ich habe die Standard Fritzbox IP.

Liege ich richtig oder komplett daneben? Wie gesagt, hatte ich bisher hiermit noch keine Berührungspunkte, bin aber lernfähig. Andernfalls kannst du mir vielleicht den richtigen Befehl geben?

Beste Grüße
 
herrpiefke schrieb:
Liege ich richtig oder komplett daneben?
Zum Vergrößern anklicken....
Weder noch ... wenn Du VPN Traffic in Dein Heimnetz unterbinden willst, dann in etwa so:
Code: 
iptables -A FORWARD -i tun0 -d 192.168.178.0/24 -j DROP
Und für Internet aus dem VPN Netz:
Code: 
iptables -t nat -A POSTROUTING -s 10.1.1.0/24 -o eth0 -j MASQUERADE

Das war es dann auch schon ;)
 
Zuletzt bearbeitet:
Ohje, also habe ich das Konzept noch nicht zu 100% verstanden.
Aber mit genug trial and error habe ich nun folgendes Ergebnis erzielt.

Ich habe wie vorher erwähnt diesen kleinen Mango Router aktiviert und hier den Wireguard Server aktiviert. Dort konnte ich in den Einstellungen sagen, dass aktive VPN Verbindungen nicht auf den Router zugreifen können -> Wunderbar - hat geklappt.

1630610767027.png


Dennoch konnte ich mit einer aktiven Verbindung auf meine Fritzbox zugreifen ... (warum das so ist verstehe ich ehrlicherweise nicht, denn der Mango Router bekommt zwar von der Fritzbox via DHCP eine IP zugesprochen, aber die Geräte, die bspw. via Lan oder via VPN mit dem Router verbunden sind, erhalten ja wiederum von dem DHCP des Routers eine IP in diesem Fall 192.168.8.XXX - wieso können die denn genauso gut auf den Adressbereich 192.168.178.XXX zugreifen?).

Nun hat der Mango Router noch eine OpenWRT Oberfläche und hier kann ich ja augenscheinlich auch iptables einstellen (nur in einer grafischen Oberfläche).

Davon ausgehend, dass die Zones soweit stimmen (ich denke mal das wird der Router ja im Vorfeld sauber vorkonfiguriert haben), habe ich nun noch etwas mit den Firewall Traffic Rules gespielt und folgende hinzugefügt. Die Wireguard Zone hatte der Mango Router übrigens ebenfalls schon erstellt.

1630609623580.png
Wobei ich bei Destination Zone auch WAN eingeben könnte, dies hätte ebenfalls dazu geführt, dass nun der VPN traffic nicht in mein Heimnetz geleitet wird oder anders gesagt, wenn ich via vpn verbunden bin, keine lokalen Ip's aufrufen kann. Aber Any Zone klingt besser ;) -> bzw. "denn Sie wussten nicht was sie tun."

Ich weiß jeder Linux Admin wird jetzt hier mit den Augen rollen, aber das Ergebnis scheint erstmal stimmig zu sein.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

B
Fritzboxen via VPN verbinden
Antworten
9
Aufrufe
831
Bannister0946
B
geddob
VPN Verbindung im Heinnetz
Antworten
18
Aufrufe
829
Azghul0815
Azghul0815
G
  • Gesperrt
Einzelnes Gerät aus "fremden" Netzwerk in Heimnetz einbinden
Antworten
17
Aufrufe
904
Sephe
S
A
Wireguard-VPN-Netzwerk eines 2. Rechners nach extern nutzen
Antworten
4
Aufrufe
542
Andy81
A
S
VPN Gateway im vorhandenen Netzwerk einbinden
2
Antworten
27
Aufrufe
1.511
shoa66
S
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz